當前位置:首頁 > 工業(yè)控制 > 伺服與控制
[導讀] 導讀:隨著物理控制和電子系統(tǒng)的高度集成,在嚴峻的安全威脅形勢下,工業(yè)控制系統(tǒng)安全事關國家關鍵基礎設施安全和民生安全,必須大力加強安全管理。針對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡安全問題提供解決思路和落地技術

導讀:隨著物理控制和電子系統(tǒng)的高度集成,在嚴峻的安全威脅形勢下,工業(yè)控制系統(tǒng)安全事關國家關鍵基礎設施安全和民生安全,必須大力加強安全管理。針對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡安全問題提供解決思路和落地技術手段,提高工控信息安全防護技術水平刻不容緩。

工控信息安全問題日益突出

從工業(yè)控制系統(tǒng)自身來看,隨著計算機和網(wǎng)絡技術的發(fā)展,尤其是信息化與工業(yè)化的深度融合,工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件,通過互聯(lián)網(wǎng)等公共網(wǎng)絡連接的業(yè)務系統(tǒng)也越來越普遍,這使得針對工業(yè)控制系統(tǒng)的攻擊行為大幅度增長,也使得工業(yè)控制系統(tǒng)的脆弱性正在逐漸顯現(xiàn),面臨的信息安全問題日益突出。

2010年的“震網(wǎng)”病毒、2012年的超級病毒“火焰”、2014年的Havex病毒等專門針對工業(yè)控制系統(tǒng)的病毒給用戶帶來了巨大的損失,同時也直接或間接地威脅到國家安全。從2015年發(fā)生的烏克蘭電力遭受攻擊事件我們可以看到,在不需要利用復雜攻擊手段、不需要完整還原業(yè)務系統(tǒng)運行過程的情況下,就可以對工控系統(tǒng)的運行造成影響。

隨著各方對工控系統(tǒng)的關注,近年來工控系統(tǒng)被挖掘的漏洞呈現(xiàn)總體上升的趨勢,但由于工業(yè)控制系統(tǒng)漏洞具有更高的價值,仍有大量的工控漏洞已被發(fā)現(xiàn),卻未被曝光,因此,實際的工控漏洞數(shù)量應超出已有統(tǒng)計數(shù),同時,SCADA、HMI、PLC、工業(yè)交換機等占曝光的漏洞數(shù)的前幾位。從分布的廠商來看,Siemens、advantech、scheider仍是漏洞大戶,他們的漏洞總和占全體工控漏洞總數(shù)的近30%。

我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠,工控系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務器與控制器通訊不同程度地中斷。

工控安全政策、標準先行

伴隨著國家政策的指引以及行業(yè)內對工控安全的行業(yè)引導,在相關因素驅動下,工控安全產(chǎn)品應用實例的增多及實際應用效果得到業(yè)界的認可,預計在不久的將來,工業(yè)控制系統(tǒng)的安全必將迅猛發(fā)展。

IEC 62443是在國際上被廣泛采納和認可的工控系統(tǒng)標準。各國、各行業(yè)制定工控相關標準政策都會參考和吸收該標準提供的概念、方法、模型。不論是想系統(tǒng)地了解工控安全問題及其應對措施,還是想了解部分內容,都可以從該標準入手。

IEC62443針對工控系統(tǒng)信息安全的定義是:

A、保護系統(tǒng)所采取的措施;

B、由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);

C、能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失;

D、基于計算機系統(tǒng)的能力,能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能,卻保證授權人員和系統(tǒng)不被阻止;

E、防止對工控系統(tǒng)的非法或有害入侵,或者干擾其正確和計劃的操作。

縱觀國際工控安全的發(fā)展態(tài)勢,美國是最早開始研究和執(zhí)行工控安全標準的國家,北美電力可靠性公司給予 CIP系列標準的要求開展在北美電力開展針對電力企業(yè)安全安全檢查(包含核電);歐洲已經(jīng)按照 WIB標準來檢測工控產(chǎn)品安全,并且以德國為代表的國家,已經(jīng)開始基于 ISO 27000系列的ISO 27009 進行工控安全的建設;日本基于 IEC 62443要求結合阿基里斯認證要求,從 2013年起規(guī)定所有工控產(chǎn)品必須通過國家標準認證才能在國內使用,并且已經(jīng)在一些重點行業(yè)如能源和化工行業(yè)開始了工控安全檢查和建設;以色列已成立國家級工控產(chǎn)品安全檢測中心,用于工控安全產(chǎn)品入網(wǎng)前的安全檢測。

2011年,工信部出臺了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)文件,第一次對工控安全管理工作提出了具體要求。近年來隨著信息技術與工業(yè)生產(chǎn)活動的不斷融合,工控安全形勢日益嚴峻,原451號文件在指導開展工控安全防護工作上存在操作性不強、技術性不夠等不足之處。工控安全主管部門和工業(yè)控制系統(tǒng)應用單位,都急需一個簡單明了、措施化、易于落地的防護指導手冊。

2016年對于我國工業(yè)控制系統(tǒng)信息安全市場來說,應該是收獲頗為豐厚的一年。尤其是在相關法律法規(guī)、標準等方面都取得了突破性的進展。

2016年10月,工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護指南》,其中指出,工業(yè)控制系統(tǒng)應用企業(yè)應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應急預案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應鏈管理、落實責任11個方面做好工控安全防護工作?!吨改稀返陌l(fā)布是對國家關鍵信息基礎設施安全保護要求的充分落實,也為新時期、新形勢下做好工控安全防護工作提供了重要的參考。

《指南》在充分考慮可操作性、務實性、實施便利性等基礎上,提出了11大項、30小項工控安全防護措施,為相關單位開展工控安全防護工作提供了有效參考。

企業(yè)要擔負起主體責任

對大型分布式控制系統(tǒng)(DCS)實施信息安全比可編程控制器(PLC)系統(tǒng)要容易得多,因為它們多數(shù)部署在大型廠內,且DCS系統(tǒng)的設計安裝要依據(jù)最佳工程實踐,有一致性的標準和驗收流程。而多數(shù)安裝在工廠的PLC系統(tǒng),則沒有統(tǒng)一的設計、規(guī)劃、實施和驗收,因為購買金額相對較小,安裝和調試的管理相對簡單粗狂,因此留下諸多隱患。

為了防止網(wǎng)絡攻擊,信息安全項目需要一種有效和切實可行的機制,包括人員、規(guī)程和技術。我們不能指望多數(shù)制造商很快就對他們的自動化系統(tǒng)實施網(wǎng)絡信息安全項目。

從性質上看,工控安全是生產(chǎn)經(jīng)營安全,工業(yè)企業(yè)承擔工控安全防護的主體責任。企業(yè)要建立健全企業(yè)的工控安全生產(chǎn)責任制,不斷完善企業(yè)工控安全管理制度、加強企業(yè)人員管理、供應鏈管理及系統(tǒng)運維管理。

工業(yè)企業(yè)認真研究和討論IEC62443標準和《工業(yè)控制系統(tǒng)信息安全防護指南》,檢查工廠的自動化系統(tǒng),對工廠整體的運行情況進行評估,發(fā)現(xiàn)可能存在的隱含漏洞,和你的有關團隊一起討論信息安全策略和解決方案,這不僅能提高工廠運行的效率,而且隨時防止有一天可能出現(xiàn)的網(wǎng)絡攻擊,保護工廠的資產(chǎn)、人員和環(huán)境。

要從工控系統(tǒng)全生命周期做好安全防護。由于工業(yè)生產(chǎn)各業(yè)務環(huán)節(jié)及相關系統(tǒng)之間的連接越來越緊密,工業(yè)控制系統(tǒng)在設計、選型、建設、測試、運行、檢修、廢棄各階段均需要做好防護工作,《指南》中的防護措施貫穿了工控系統(tǒng)的整個生命周期。

工控安全防護要從系統(tǒng)與設備安全、網(wǎng)絡安全、主機安全和數(shù)據(jù)安全方面建立綜合防護能力。傳統(tǒng)的單點防護已經(jīng)不能應對日益嚴峻的安全形勢,《指南》提出要在工控系統(tǒng)與設備、工業(yè)網(wǎng)絡、工業(yè)主機、工業(yè)數(shù)據(jù)各核心要素上都建立防護能力,大幅提高黑客攻擊工控系統(tǒng)的難度,切實提升工控系統(tǒng)安全水平。

要加快培養(yǎng)工控安全專業(yè)技術隊伍。當前我國在工控安全方面的風險評估、防護方案規(guī)劃與實施方面的人才存在較大缺口,工業(yè)企業(yè)在落實《指南》中的防護措施時,急需相關專業(yè)技術人員來實施有關工作。相關主管部門要通過專業(yè)建設、人才培育等多種措施,加快工控安全人才力量的建設。

小結:隨著信息化網(wǎng)絡化等技術的不斷發(fā)展,控制系統(tǒng)接入互聯(lián)網(wǎng)也是大勢所趨,所以對于控制系統(tǒng)的信息安全和抵御黑客攻擊能力會要求更高。工業(yè)企業(yè)可參照《指南》選擇工控安全防護產(chǎn)品或解決方案,促進企業(yè)落實工控安全防護措施,切實提升工控系統(tǒng)安全水平。

本站聲明: 本文章由作者或相關機構授權發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內容真實性等。需要轉載請聯(lián)系該專欄作者,如若文章內容侵犯您的權益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或將催生出更大的獨角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉
關閉